Plone Hotfix 20110928 (2011年10月4日)

あなたが何をパッチプログラムの有効性を持つか

自然発生的脆弱性の為に、セキュリティチームは、詳細が明らかになる前の修正が完了する前に事前アナウンスをすることを決めています。 これは、ユーザ関係者は、リリースまで計画することがきます。 修正パッチのリリース後に詳細な脆弱性の公開をする予定です。修正パッチのインストール時には、サイトが完全に使用できなくなるので、30分程度のメンテナンスがあることを事前に利用者にアナウンスすることをお勧めします。

サイトを守るために以下の手順を実行する事を 強く 推奨します。

1. Zope/Ploneサービスが最低限の権限で起動している事を確認します。理想的には、Zope又はZEOサービスは、ログとデータベースフォルダに書込権限だけとすべきです。
2. 非認証ユーザ変更のためのキー監視して有無のような侵入検知システムを使います。
3. Zopeやリバースプロキシーのリクエストや例外的なログを監視します。

このケースの場合、様々なシステム使うべきで標準的な予防措置です。

Plone Hotfix 20110928 (Oct 04, 2011)

• バージョン : Plone 4.0.x series <= 4.0.9, 4.1 <= 4.1, 4.2 <= 4.2a2.
• 影響 : 大
• 概要 : 匿名ユーザが任意のコードを実行できる。Zopeに依存する問題。

Plone Hotfix 20110622 (Jun 28, 2011)

• バージョン : Plone 4.0.x series <= 4.0.7, 4.1 <= RC1, 3.x series <= 3.3.5.
• 影響 : 大
• 概要 : - zope.interface の InterfaceClass クラスを経由して、獲得(acquisition)されるオブジェクトが、セキュリティ監査されていない場合がある。 - zope.traversing の namespaceパッケージにあるクラスを一部不正使用される可能性がある。

Plone Hotfix 20110531 (Jun 01, 2011)

• バージョン : Plone series 4.x <= 4.0.5, 3.x <= 3.3.5, 2.5.x.
• 影響 : 大
• 概要 : - XSS関連(2件) - ユーザデータの書換権限(Plone4以降) - 他ユーザに認証させなく出来る(Plone2.5-Plone4)

Plone Hotfix CVE-2011-0720 (Feb 08, 2011)

• バージョン : Plone 4.x series <= 4.0.3, 3.x series <= 3.3.5, 2.5.x series, 2.1, 2.0.
• 影響 : 大
• 概要 : - Zope Publisherが持つバグ(Plone3.0以降(Zope2.10以降)のみ) - Ploneコード内のセキュリティ宣言の甘さの修正 - 日本語情報(http://plone.jp/news/plone-security-2011-0720)

Plone Hotfix 20100612 (Jun 19, 2010)

• バージョン : Plone 3.x series <= 3.3.5, 2.5.x, 2.1.
• 影響 : 中
• 概要 : HTMLフィルタリングの不具合。safe_html 関係のバグ。

下記サイト(英語)に情報及び対策プロダクトがまとめっています。 http://plone.org/products/plone-hotfix/releases